Персональные данные: какие изменения вступят в силу 1 марта
1 марта вступит в силу заключительная часть поправок, внесенных в Закон о персональных данных от 27 июля 2006 г. N 152-ФЗ в июле прошлого года. Изменения касаются порядка подтверждения уничтожения персональных данных, трансграничной передачи данных, сроков уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных, и ряда иных вопросов. Остановимся на нововведениях подробнее.
1. Подтверждение уничтожения персональных данных.
С 1 марта 2023 г. подтверждать уничтожение персональных данных (далее также ПД) нужно будет в соответствии с требованиями, установленными Роскомнадзором. Напомним, что уничтожить персональные данные (или обеспечить их уничтожение) необходимо в случаях, предусмотренных ст. 21 Закона о персональных данных, в частности, при достижении целей их обработки.
Требования к подтверждению уничтожения персональных данных предусмотрены приказом Роскомнадзора от 28.10.2022 N 179. Он вступит в силу также 01.03.2023.
В связи с этим ниже приведено информационное сообщение ведомства, в котором поясняется, как документально оформить факт уничтожения персональных данных.
2. Трансграничная передача персональных данных.
В первую очередь напомним, что согласно уже действующим положениям рассматриваемого Закона N 266-ФЗ, вступившим в силу 01.09.2022, при трансграничной передаче данных, операторы, которые ее осуществляли до 01.09.2022 и продолжили ее осуществлять после этой даты, обязаны до 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении такой передачи. Сделать это можно посредством формы, размещенной на Портале персональных данных.
Разъясняя данное требование, Роскомнадзор сообщил, что данная мера не предполагает получения разрешения на трансграничную передачу, а равно принятие решения о запрещении или ограничении трансграничной передачи ПД.
Однако с 1 марта правила изменятся. С указанной даты, согласно новой редакции ст. 12 Закона о персональных данных, операторы должны будут уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности. В свою очередь ведомство, по итогам рассмотрения уведомления, будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны (см. в связи с этим правила, утв. постановлениями Правительства РФ от 16.01.2023 N 24 и от 10.01.2023 г. N 6). До истечения 10 рабочих дней после подачи такого уведомления запрещено будет передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных (см. в связи с этим Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД).
Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей). Об этом также говорится в упомянутом сообщении ведомства.
Кроме того, обратите внимание на постановление Правительства РФ от 29.12.2022 N 2526, которым определены случаи, при которых к операторам, осуществляющим трансграничную передачу ПД, не применяются требования по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу, а также случаи, при которых не применяются положения закона, касающиеся принятия решений о запрещении или об ограничении трансграничной передачи ПД.
3. Сроки уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных.
Установлено, что оператор обязан проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
В случае прекращения обработки персональных данных оператор должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (сейчас - в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД).
4. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных.
Оценку вреда нужно будет осуществлять в соответствии с требованиями, утв. приказом Роскомнадзора от 27.10.2022 N 178, который вступит в силу также 01.03.2023.
5. Утечка персональных данных.
Согласно новой части 10, которая с 01.03.2023 появится в ст. 23 Закона о персональных данных, для учета информации об инцидентах, поименованных в ч. 3.1 ст. 21 этого закона, Роскомнадзор будет вести реестр учета инцидентов в области персональных данных.
Также с указанной даты вступит в силу приказ ведомства от 14.11.2022 N 187, устанавливающий порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения названного реестра. В том числе этим приказом закреплены требования к содержанию первичного и дополнительного уведомления об инциденте.
А в соответствии с частью 11, которая также появится в ст. 23 Закона о персональных данных с 01.03.2023, информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, должна передаваться в ФСБ России. Порядок передачи будет установлен совместным приказом ФСБ и Роскомнадзора.
Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
от 19 января 2023 г.
"Как документально оформить факт уничтожения персональных данных?"
С 1 марта 2023 года вступает в силу приказ Роскомнадзора N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
Что изменится?
Теперь при оформлении документа операторам нужно обратить внимание на то, как осуществляется обработка персональных данных (ПД), а именно:
- Если используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т.д.) или смешанная обработка, то документами, подтверждающими уничтожение персональных данных субъектов, являются:
1. акт об уничтожении персональных данных (см. пункты 3 и 4 Требований);
2. выгрузка из журнала регистрации событий в информационной системе персональных данных (см. пункт 5 Требований).
- Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте. В таком случае подтверждением будут оба способа, независимо от способа обработки ПД (см. пункт 6 Требований).
- Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.
Напоминаем, что обратиться с жалобой на незаконное использование ваших персональных данных вы можете через электронную приемную РКН. Кроме того, вы вправе самостоятельно потребовать от владельца ресурса прекратить незаконное распространение ПД. Невыполнение вашего законного требования может закончиться привлечением оператора к административной ответственности.
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
от 28 октября 2022 г. N 179
"Об утверждении Требований к подтверждению уничтожения персональных данных"
В соответствии с частью 7 статьи 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2022, N 29, ст. 5233), абзацем вторым пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431), приказываю:
1. Утвердить прилагаемые Требования к подтверждению уничтожения персональных данных.
2. Настоящий приказ вступает в силу с 1 марта 2023 г. и действует до 1 марта 2029 г.
|
Руководитель |
А.Ю. Липов |
Зарегистрировано в Минюсте РФ 28 ноября 2022 г.
Регистрационный N 71167
Утверждены
приказом Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 28.10.2022 N 179
Требования
к подтверждению уничтожения персональных данных
1. В случае если обработка персональных данных осуществляется оператором 1 без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
2. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 3 и 4 настоящих Требований, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
3. Акт об уничтожении персональных данных должен содержать:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
4. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации 2, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 3 настоящих Требований.
5. Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
6. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 5 настоящих Требований, недостающие сведения вносятся в акт об уничтожении персональных данных.
7. В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктами 3 и 4 настоящих Требований, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 5 настоящих Требований.
8. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
──────────────────────────────
1 Пункт 2 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701).
2 Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2022, 29, ст. 5306).